ISO 27001:2013

Introducción a la ciberseguridad
Recursos
La norma
¿Por qué estamos aquí?

Fuente: https://www.fireeye.com/cyber-map/threat-map.html
¿Por qué estamos aquí?

Fuente: http://resources.infosecinstitute.com/2013-impact-cybercrime/
Casos recientes

Fuente: http://www.elmundo.es/tecnologia/2014/12/24/549a5be922601dd0458b456d.html
Fuente: http://internacional.elpais.com/internacional/2014/12/19/actualidad/1419014261_319604.html
Casos actuales

Fuente: https://www.schneier.com/blog/archives/2014/02/the_mask_espion.html
Recursos
Herramientas gratuitas
Certificaciones
Sueldo medio en EEUU

Certified Information Security Manager (CISM) $114,844

Certified Information Systems Auditor (CISA) $112,040

Six Sigma, green belt, $116,987

Certified Ethical Hacker (CEH) $103,822

Etc… Etc…

Fuente: http://www.businessinsider.com/15-more-tech-skills-that-can-instantly-net-you-a-100000-salary-2013-4?IR=T

Fuente: http://www.globalknowledge.com/training/generic.asp?pageid=3632
Complementos y alternativas a ISO 27001
Cloud Controls Matrix (CCM) : Cloud Security Alliance

Payment Card Industry Data Security Standard

Report on Controls at a Service Organization Relevant to Security,

Availability, Processing Integrity, Confidentiality or Privacy

Star Audit: Eurocloud

The Standard of Good Practice for Information Security

ISM3 v1.20: Information Security Management Maturity Model

MPAA Facility Security Program

Malta Gaming Authority (MGA)

ISO 27001. Origen
Principios 90 El Ministerio de Industria y Comercio del Reino
Unido da soporte a su desarrollo. Se crea ITSEC y DISC PD003

“Code of good 1995 Adoptado por primera vez como British Standard (BS)
security practice
for information 1998 Se publican los requisitos para la certificación
security”
1999 Se edita la Segunda Edición donde se incluyen comercio
electrónico, los ordenadores portátiles y contratación con terceros.
DISC PD003
2000 Se aprueba la ISO 17799 Parte 1 en Agosto.

2002 BS 7799-2:2002 publicado el 5 de Septiembre

BS 7799 Énfasis en la concordancia con ISO 9001 y la ISO 14001
Se adopta el modelo PDCA

2004 Se publica la UNE 71502, elaborada por el AEN/CTN 71

2005 Se publica ISO 27001:2005

ISO 27001 2013 Se publica ISO 27001:2013

La familia ISO 27000
Las normas ISO/IEC 27000 son estándares de seguridad publicados por la Organización
Internacional para la Estandarización (ISO) y contienen mejores prácticas en Seguridad
de la información para desarrollar, implementar y mantener Especificaciones para los
Sistemas de Gestión de la Seguridad de la Información (SGSI).

• ISO/IEC 27000, Information security management systems — Overview and

vocabulary
• ISO/IEC 27001, Information security management systems — Requirements
• ISO/IEC 27002, Code of practice for information security controls
• ISO/IEC 27003, Information security management system implementation guidance
• ISO/IEC 27004, Information security management — Measurement
• ISO/IEC 27005, Information security risk management
• ISO/IEC 27006, Requirements for bodies providing audit and certification of
information security management systems
• SO/IEC 27007, Guidelines for information security management systems auditing
La familia ISO 27000

• ISO/IEC TR 27008, Guidelines for auditors on information security controls

• ISO/IEC 27010, Information security management for inter-sector and inter-
organizational communications
• ISO/IEC 27011, Information security management guidelines for telecommunications
organizations based on ISO/IEC 27002
• ISO/IEC 27013, Guidance on the integrated implementation of ISO/IEC 27001 and
ISO/IEC 20000-1
• ISO/IEC 27014, Governance of information security
• ISO/IEC TR 27015, Information security management guidelines for financial
services
• ISO/IEC TR 27016, Information security management — Organizational economics
• ETC.
 ¿Para qué sirve?
…para establecer, implantar, mantener y mejorar un sistema de gestión de la
seguridad de la información (SGSI/ISMS).

Beneficios de un SGSI.

Proporcionar las mejores prácticas de seguridad de la información

Permitir a las organizaciones desarrollar, implantar y medir prácticas efectivas de

gestión de la seguridad

Proporcionar confianza en las organizaciones y su actividad (interno y externo: valor

para marketing)

Aplicable a un amplio rango de organizaciones - grandes, medianas y pequeñas

El proceso de evaluación periódica ayuda a supervisar continuamente rendimiento y

mejora

Permite de manera ordenada identificar riesgos, evaluarlos y gestionarlos

 ¿Qué es un SG…SI?
Un Sistema de Gestión es un sistema para establecer la política y objetivos de una organización y lograrlos,
mediante:
• Una estructura organizativa donde las funciones, responsabilidades, autoridad, etc. de las personas están
definidas
• Procesos y recursos necesarios para lograr los objetivos
• Metodología de medida y de evaluación para valorar los resultados frente a los objetivos, incluyendo la
realimentación de resultados para planificar las mejoras del sistema
• Un proceso de revisión para asegurar que los problemas se corrigen y se detectan oportunidades de
mejora e implementan cuando están justificadas

Un sistema de gestión de la seguridad de la información (SGSI) (en inglés: information security

management system, ISMS) es, como el nombre lo sugiere, un conjunto de políticas de administración de
la información
Un SGSI es para una organización el diseño, implantación, mantenimiento de un conjunto de procesos
para gestionar eficientemente la accesibilidad de la información, buscando asegurar la confidencialidad,
integridad y disponibilidad de los activos de información minimizando a la vez los riesgos de seguridad de
la información.
Fuente: http://es.wikipedia.org/wiki/Sistema_de_gesti%C3%B3n_de_la_seguridad_de_la_informaci%C3%B3n
 ¿Qué es la información?
información. La información es un conjunto
(Del lat. informatĭo, -ōnis). organizado de datos procesados, que
1. f. Acción y efecto de informar. constituyen un mensaje que cambia el
2. f. Oficina donde se informa sobre algo.
3. f. Averiguación jurídica y legal de un hecho o
estado de conocimiento del sujeto o sistema
delito. que recibe dicho mensaje.
4. f. Pruebas que se hacen de la calidad y Fuente: Wikipedia
circunstancias necesarias en una persona para un
empleo u honor. U. m. en pl.
5. f. Comunicación o adquisición de conocimientos
que permiten ampliar o precisar los que se poseen Information is an asset which,
sobre una materia determinada. like other important business assets,
6. f. Conocimientos así comunicados o adquiridos. has value to an organization and
7. f. Biol. Propiedad intrínseca de ciertos consequently needs to be suitably
biopolímeros, como los ácidos nucleicos, originada protected
por la secuencia de las unidades componentes.
Fuente: ISO/IEC 27002:2005
8. f. ant. Educación, instrucción.
Fuente: RAE
¿Dónde está la información?
•Papel
•Medios electrónicos
 Ordenadores
 Almacenamiento físico/virtual
 USBs
 En tránsito
 Etc.
•Videos Fuente: http://en.wikipedia.org/wiki/Bob_Quick_%28police_officer%29

•Conversaciones
•Web
•Personas
•En los sitios más insospechados…

La seguridad de la información no es seguridad

informática. Va más allá.
Fuente: http://dinovida.files.wordpress.com/
Seguridad de la información. Conceptos
Medidas que permiten proteger la información buscando mantener la confidencialidad,
la disponibilidad e integridad de la misma (free of danger)

La seguridad de la información es algo que

no puedes comprar, tienes que construir.
It’s a process not a product

Fuente: Silvia Villanueva

¿Se puede conseguir la seguridad total? La respuesta es no, pero si que mediante
distintos enfoques y aproximaciones, se puede obtener una seguridad aceptable:
• Mediante la gestión y tratamiento de riesgos
• Formando a las personas
• Securizando procesos y tecnología
• Etc.
Seguridad de la información. Conceptos
Según la ISO, la seguridad se caracteriza como la preservación de la confidencialidad,
integridad y disponibilidad de la información; adicionalmente pueden tenerse en
consideración otras propiedades como autenticación, responsabilidad, no repudio y
fiabilidad
NECESIDADES
SEGURIDAD
OPERATIVAS

S
CONFIDENCIALIDAD AUTENTICACION
E
G NO REPUDIO
INTEGRIDAD U
R TRAZABILIDAD
DISPONIBILIDAD I
D RESPONSABILIDAD
A
GESTIÓN DE LA SEGURIDAD
D SEGURIDAD TOTAL
 ISO 27001. Cambios notables
• Pone más peso en medir y evaluar (métricas e indicadores) el sistema de
gestión
• Desaparece la sección de enfoque a procesos dando más flexibilidad de elección
de metodologías de trabajo para análisis de riesgos y mejoras.
• No enfatiza tanto el ciclo de Demming como la ISO27001:2005
• Mejora la integración con ISO9000 e ISO20000. Cambia su estructura
conforme al anexo SL.
• Incorpora la externalización de servicios en el dominio “relaciones con el
proveedor”.
• Se parte del análisis de riesgos para determinar los controles necesarios (SoA)
en lugar de identificar primero activos, amenazas y vulnerabilidades
ISO 27001. Cambios notables
Pasa de 102 requisitos a 130
Pasa de 11 a 14 dominios (clausulas) y de 133 a 114 controles (sub
clausulas)
La normativa ISO 27002 se ha incorporado al anexo A

• Controles nuevos:
• A.6.1.5 Information security in project management
• A.12.6.2 Restrictions on software installation
• A.14.2.1 Secure development policy
• A.14.2.5 Secure system engineering principles
• A.14.2.6 Secure development environment
• A.14.2.8 System security testing
• A.15.1.1 Information security policy for supplier relationships
• A.15.1.3 Information and communication technology supply chain
• A.16.1.4 Assessment of and decision on information security events
• A.16.1.5 Response to information security incidents
• A.17.2.1 Availability of information processing facilities

2005 2013
ISO 27001. Estructura
ISO 27001. Estructura
1.- Alcance

• -No es el alcance del SGSI

• -aplicable a cualquier organización
• -Genérica
• -Los requisitos de las clausulas 4 a la 10 no son excluibles

2.- Referencias normativas

• -La norma ISO 27000

• -La norma ISO 27002 ya no es referencia normativa.

3.- Términos y definiciones

• -La norma ISO 27000

ISO 27001. Contexto de la organización
4.- Contexto de la Organización

• La organización debe preocuparse, y por tanto determinar, qué cuestiones o

aspectos internos y externos están involucrados en el propósito de la misma y pueden
afectar a la capacidad de alcanzar los resultados previstos para su SGSI

• Instituye los requerimientos para definir el contexto del SGSI sin importar el tipo de
organización y su alcance.

• Introduce una nueva figura (las partes interesadas) como un elemento

primordial para la definición del alcance del SGSI.

• Establece la prioridad de identificar y definir formalmente las necesidades de las partes

interesadas con relación a la seguridad de la información y sus expectativas con
relación al SGSI, pues esto determinará las políticas de seguridad de la información y
los objetivos a seguir para el proceso de gestión de riesgos.

• La guía para realizar este estudio puede ser ISO 31000:2009 (4.3.1, 5.3.1, etc.)
ISO 27001. Liderazgo y Compromiso
5.- Liderazgo y Compromiso de la dirección

• Ajusta la relación y responsabilidades de la Alta Dirección respecto al SGSI, destacando

de manera puntual cómo debe demostrar su compromiso, por ejemplo:

• Garantizando que los objetivos del SGSI y “La política de seguridad de la

información”, anteriormente definida como “Política del SGSI”, estén alineados con los
objetivos del negocio.

• Garantizando la disponibilidad de los recursos para la implementación del SGSI

(económicos, tecnológicos, etcétera).

• Garantizando que los roles y responsabilidades claves para la seguridad de la

información se asignen y se comuniquen adecuadamente.
ISO 27001. Planificación
• Se deben determinar los riesgos y oportunidades a la hora de planificar el SGSI, así
como establecer objetivos de Seguridad de la Información y el modo de alcanzar estos

• Se presentan grandes cambios en el proceso de evaluación de riesgos: el proceso para la

evaluación de riesgos ya no está enfocado en los activos, las vulnerabilidades y las
amenazas.
• Esta metodología se enfoca en el objetivo de identificar los riesgos asociados con la
pérdida de la confidencialidad, integridad y disponibilidad de la información.
• El nivel de riesgo se determina con base en la probabilidad de ocurrencia del riesgo y
las consecuencias generadas (impacto), si el riesgo se materializa.
• Se ha eliminado el término “Propietario del activo” y se adopta el término “Propietario
del riesgo”.
• Los requerimientos del SOA no sufrieron transformaciones significativas
• objetivos
Análisis de riesgos ¿Por qué?
• El Análisis de riesgos es un concepto requerido para el buen gobierno de TI
• La gestión de los riesgos es una piedra angular del buen gobierno.
• Es un principio fundamental que las decisiones de gobierno se
• fundamenten en el conocimiento de los riesgos que implican.
• El conocimiento de los riesgos permite calibrar la confianza en que los
• sistemas desempeñarán su función como la Dirección espera.
• En particular de los riesgos provenientes del uso de las TIC.
• Marco equilibrado de Gobierno – Gestión de Riesgos – Cumplimiento
• (GRC).
• Tratamiento de los riesgos de las TIC en relación con los demás riesgos.
• Referente: ISO 38500 (Gobierno de TI)
Análisis de riesgos. Ciclo de Vida
Análisis de riesgos. Ciclo de Vida
Análisis de riesgos. Ciclo de Vida
Análisis de riesgos. Conceptos
• Riesgo: Estimación del grado de exposición a que una amenaza se materialice sobre
uno o mas activos causando daños o perjuicios a la Organización

El riesgo indica lo que le podría pasar a los activos si no se protegieran adecuadamente. Es

importante saber qué características son de interés en cada activo, así como saber en qué
medida (cuantificar) estas características están en peligro, es decir, analizar el sistema:

• Análisis de Riesgos: proceso sistemático para estimar la magnitud de los riesgos a

que está expuesta una Organización

Una vez conocidos los riesgos se presentan para tomar decisiones:

• Tratamiento de los riesgos: proceso destinado a modificar el riesgo

Análisis de riesgos. Conceptos
• Amenaza: Causa potencial de un incidente que puede causar daños a un sistema de
información o a una organización. [UNE 71504:2008].

• Degradación: cuán perjudicado resultaría el activo. La degradación mide el daño

causado por un incidente en el supuesto de que ocurriera.

• Frecuencia: cada cuánto se materializa la amenaza

• Vulnerabilidad: toda debilidad que puede ser aprovechada por una amenaza, o, más
detalladamente, a las debilidades de los activos o de sus medidas de protección que
facilitan el éxito de una amenaza potencial.

Son vulnerabilidades todas las ausencias o ineficacias de las salvaguardas pertinentes para
salvaguardar el valor propio o acumulado sobre un activo. A veces se emplea el término
“insuficiencia” para resaltar el hecho de que la eficacia medida de la salvaguarda es
insuficiente para preservar el valor del activo expuesto a una amenaza.
Análisis de riesgos. Conceptos
• Un activo tiene valor para la compañía y está lo expone a un riesgo con la esperanza de
obtener un beneficio (oportunidad) .

• La materialización de la amenaza a través de la explotación de una vulnerabilidad

degrada el valor del activo y le puede afectar a su confidencialidad, integridad o
disponibilidad.

• Los riesgos se identifican y se valoran cualitativa o cuantitativamente, tomando en

cuenta la frecuencia de aparición (o probabilidad) e impacto.

• Una vez identificados los riesgos se tratan aplicando medidas (Plan de tratamiento de
riesgos).
• El riesgo residual (riesgo existente después de aplicar medidas) debe ser conocido y
formalmente aceptado por la Organización (dirección)

• El apéndice A de la ISO 27001:2013 o la ISO27002 es un catalogo de salvaguardas o

medidas a aplicar para tratar el riesgo.
Análisis de riesgos según MAGERIT V3
• 1. determinar los activos relevantes para la Organización, su interrelación y su valor, en
el sentido de qué perjuicio (coste) supondría su degradación

• 2. determinar a qué amenazas están expuestos aquellos activos

• 3. determinar qué salvaguardas hay dispuestas y cuán eficaces son frente al riesgo

• 4. estimar el impacto, definido como el daño sobre el activo derivado de la

materialización de la amenaza

• 5. estimar el riesgo, definido como el impacto ponderado con la tasa de ocurrencia (o

expectativa de materialización) de la amenaza

ISO 27001:2013
-Análisis de riesgo según contexto, no según activos
-Riesgos asociados a la perdida de Confidencialidad, Integridad y Disponibilidad de la I.
-Se substituye “propietario del activo” por “propietario del riesgo”
Lista de tareas de AR según MAGERIT V3
ISO 27001. Planificación

Resumiendo:
• Hay que definir, aplicar y documentar un proceso de evaluación de riesgos, propio o de
terceros, focalizado en los valores de la seguridad de la información
• Hay que definir los criterios de aceptación de riesgo (Riesgo aceptable)
• Identificad los riesgos principales y los propietarios de esos riesgos. Priorizarlos
• Diseñar un plan de tratamiento de riesgos, comparar los controles necesarios con el
anexo A y elaborar el Statement of applicability (SoA)
• El SoA debe revisar los controles del anexo A y justificar su inclusión o
exclusión.
• Crear el plan de seguridad y obtener la aprobación de los propietarios del riesgo
• Crear objetivos (6.2) de seguridad. Como en otras normas.
ISO 27001. Soporte

• Marca los requerimientos de soporte para el establecimiento, implementación y mejora del SGSI,
que incluye:
• Recursos, personal competente, concienciación y comunicación con las partes interesadas
• Se incluye una nueva definición “información documentada” que sustituye a los términos
“documentos” y “registros”; abarca el proceso de documentar, controlar, mantener y conservar la
documentación correspondiente al SGSI. Depende del tamaño de la organización.
• El proceso de revisión se enfoca en el contenido de los documentos y no en la existencia de un
determinado conjunto de estos.
ISO 27001. Operación

• Establece los requerimientos para medir el funcionamiento del SGSI, las expectativas
de la Alta Dirección y su realimentación sobre estas, así como el cumplimiento con el
del estándar. Es la realización de lo determinado en 6.1 y 6.2 (planificación)
• Además, plantea que la organización debe planear y controlar las operaciones y
requerimientos de seguridad, erigiendo como el pilar de este proceso la ejecución de
evaluaciones de riesgos de seguridad de la información de manera periódica por medio
de un programa previamente elegido.
• Los activos, vulnerabilidades y amenazas ya no son la base de la evaluación de riesgos.
Solo se requiere para identificar los riesgos asociados con la confidencialidad,
integridad y disponibilidad
ISO 27001. Evaluación del rendimiento

• En un SGSI es fundamental medir, medir, y… medir. Para ello, se llevarán a cabo

actividades de análisis y evaluación, auditorías internas y la revisión por la dirección del
Sistema de Gestión de Seguridad de la Información
• La base para identificar y medir la efectividad y desempeño del SGSI continúan siendo
las auditorías internas y las revisiones del SGSI.
• Se debe considerar para estas revisiones el estado de los planes de acción para atender
no conformidades anteriores y se establece la necesidad de definir quién y cuándo se
deben realizar estas evaluaciones así como quién debe analizar la información
recolectada
ISO 27001. Mejora continua

• Una organización deberá mejorar continuamente la adecuación y eficacia del SGS, así
cómo dar solución a todas las acciones correctivas y no conformidades detectas
Dominios (Clausulas) y Controles (Salvaguardas)
A.5: Information security policies (2 controls)
A.6: Organization of information security (7
controls)
A.7: Human resource security - 6 controls that are
applied before, during, or after employment
A.8: Asset management (10 controls)
A.9: Access control (14 controls)
A.10: Cryptography (2 controls)
A.11: Physical and environmental security (15
controls)
A.12: Operations security (14 controls)
A.13: Communications security (7 controls)
A.14: System acquisition, development and
maintenance (13 controls)
A.15: Supplier relationships (5 controls)
A.16: Information security incident management (7
controls)
A.17: Information security aspects of business
continuity management (4 controls)
A.18: Compliance; with internal requirements, such
as policies, and with external requirements, such as
laws (8 controls)
Dominios (Clausulas) y Controles (Salvaguardas)

Diagrama de implantación de ISO 27001

Lista de verificación (Checklist) de implantación de ISO 27001

Fuente: http://http://www.iso27001standard.com
Documentación obligatoria
• Alcance del SGSI (punto 4.3)
• Objetivos y política de seguridad de la información (puntos 5.2 y 6.2)
• Metodología de evaluación y tratamiento de riesgos (punto 6.1.2)
• Declaración de aplicabilidad (SoA) (punto 6.1.3 d)
• Plan de tratamiento de riesgos (puntos 6.1.3 e y 6.2)
• Informe de evaluación de riesgos (punto 8.2)
• Definición de roles y responsabilidades de seguridad (puntos A.7.1.2 y A.13.2.4)
• Inventario de activos (punto A.8.1.1)
• Uso aceptable de los activos (punto A.8.1.3)
• Política de control de acceso (punto A.9.1.1)
• Procedimientos operativos para gestión de TI (punto A.12.1.1)
• Principios de ingeniería para sistema seguro (punto A.14.2.5)
• Política de seguridad para proveedores (punto A.15.1.1)
• Procedimiento para gestión de incidentes (punto A.16.1.5)
• Procedimientos para continuidad del negocio (punto A.17.1.2)
• Requisitos legales, normativos y contractuales (punto A.18.1.1)
Registros obligatorios
• Registros de capacitación, habilidades, experiencia y evaluaciones (punto 7.2)

• Monitoreo y resultados de medición (punto 9.1)

• Programa de auditoría interna (punto 9.2)

• Resultados de auditorias internas (punto 9.2)

• Resultados de la revisión por parte de la dirección (punto 9.3)

• Resultados de medidas correctivas (punto 10.1)

• Registros sobre actividades de los usuarios, excepciones y eventos de seguridad

(puntos A.12.4.1 y A.12.4.3)
Gracias
¿Preguntas?

Mailto: Gnzldlp@gmail.com